Mitarbeitern privates Nutzen der E-Mail-Dienste zu gestatten ist oft selbstverständlich. Angesichts der datenschutzrechtlichen Konsequenzen sollten sich das der Arbeitgeber und sein Administrator jedoch zweimal überlegen.
Erlaubt es ein Unternehmen seinen Mitarbeitern, E-Mail-Dienste auch privat zu nutzen, wird es zum Telekommunikationsdienste-Anbieter für Dritte. So jedenfalls bestimmt es der Paragraph 2 der Telekommunikations-Datenschutzverordnung (TDSV) in Verbindung mit Paragraph 3 Telekommunikationsgesetz (TKG) (siehe jeweiligen Kasten). Die einzelnen Mitarbeiter sind dann diesbezüglich nicht mehr dem Bereich des Unternehmens zuzuordnen, sondern gelten als außenstehend. Die persönlichen Rechte, die aus dem Fernmeldegeheimnis und dem allgemeinen Datenschutz stammen, drängen das arbeitsrechtliche Verhältnis in den Hintergrund.
Datenschutz bedeutet Kontrollverlust
Das Unternehmen hat damit im Verhältnis zu seinen Mitarbeitern dieselben Datenschutzbestimmungen einzuhalten wie beispielsweise ein Internetprovider gegenüber seinen Kunden. Auf das konkrete Ausmaß der privaten E-Mail-Nutzung kommt es nicht an. Um die Rechtsfolge herbeizuführen, genügen bereits vereinzelte kurze Nachrichten, sofern sie nur regelmäßig erlaubt oder zumindest geduldet sind.
Die Datenschutzbestimmungen fordern, dass Umstände und Inhalte privater Kommunikation eines Mitarbeiters dem Unternehmen grundsätzlich nicht zugänglich sind. Nach Paragraph 85 TKG unterliegen nämlich die Inhalte und näheren Umstände der privaten Mitarbeiter-Telekommunikation dem Fernmeldegeheimnis.
Es gilt das Fernmeldegeheimnis
Damit ist beispielsweise schon ein Sichten des Mail-Kontos durch den Sysadmin lediglich auf große Attachements rechtswidrig und unter Umständen sogar strafbar. Verstöße gegen TKG und TDSV sind mit Freiheitstrafe bis zu zwei Jahren, Geldstrafen oder Geldbußen bis zu einer Höhe von 500000 Euro bedroht.
Das erschwert die Administration: Hat der Systemverwalter den Verdacht, dass bestimmte Mails oder Attachements den Mailserver beeinträchtigen oder dass ein MTA fehlkonfiguriert ist, der ungewöhnlich hohen Traffic verursacht, darf er das nicht selbst überprüfen.
Zu groß ist die Gefahr, dass er Kenntnis von geschützten Daten erlangt. Vielmehr ist beim jeweiligen Mitarbeiter um Prüfung der Vorfälle nachzusuchen. Da betriebliche und private Mail nicht ohne Kenntnis des Inhalts voneinander getrennt werden kann, ist außerdem kein Zugriff auf die betrieblich veranlassten Nachrichten mehr möglich. Ein Backup der benutzereigenen Verzeichnisse ist nach dem derzeitigen Stand der Rechtsprechung dann ebenfalls als unzulässig zu verwerfen. Das vereitelt eine interessengerechte Datenhaltung und -verarbeitung. Es dem Mitarbeiter zu überlassen, die betrieblich relevanten Mail-Daten von eigenen zu trennen und gesondert zu sichern, hat auch nicht viel Sinn. Auch der beste Mitarbeiter erreicht nicht die Zuverlässigkeit eines Cronjobs. Fällt der Mitarbeiter aus irgendeinem Grund aus, bleibt der Datenzugriff verwehrt.
Betriebliche Interessen sind nachrangig
Es gibt nur wenige Ausnahmen vom Zugriffsverbot. Neben der Einwilligung des Mitarbeiters kommen gesetzliche Erlaubnistatbestände in Betracht. Diese spiegeln aber zumeist ein staatliches Zugriffsinteresse zu Zwecken der Strafverfolgung wieder. Der Arbeitgeber hofft vergeblich, dass auf sein unternehmerisches Interesse an jederzeit leicht zugänglichen Betriebsdaten Rücksicht genommen wird. Die telekommunikations- und datenschutzrechtlichen Bestimmungen lassen zwar Ausnahmen zu, die das betriebliche Interesse des Unternehmens berücksichtigen, stellen aber strenge Bedingungen und gelten nur in besonderen Ausnahmefällen.
Wenn noch alternative Methoden denkbar sind, die mit vertretbaren Aufwand zum gleichen Ergebnis führen, ist eine solche Ausnahme nicht zu erwarten. Eine dieser Alternativen wäre es zum Beispiel, ein vollständiges Doppel der E-Mail-Korrespondenz bei jener Stelle einzuholen, die mit dem eigenen Mitarbeiter in Verbindung stand.
Die Rechtsprechung hat bislang einen vergleichbar erheblichen Aufwand stets hinter dem Schutz personenbezogener Daten zurücktreten lassen. Rechtssicherheit besteht in diesem Bereich allerdings noch nicht.
TKÜV greift nicht
Die Bestimmungen der Telekomunikationsüberwachungsverordnung (TKÜV), die in den letzten Wochen für viel Aufregung gesorgt haben, gelten in diesem Bereich übrigens nicht. Dieses Gesetz verpflichtet ausschließlich Betreiber von Telekommunikationsanlagen, mit denen Telekommunikationsdienstleistungen für die Öffentlichkeit erbracht werden. Für den Arbeitgeber geht es aber nur um den begrenzten Kreis eigener Mitarbeiter. Es kommt daher auch nicht auf die 1000-Teilnehmer-Grenze an.
Es bleibt die Einwilligung des Mitarbeiters. Bei dieser Lösung ist Paragraph 4a Bundesdatenschutzgesetz (BDSG) zu beachten, der neben der Schriftform der Erklärung eine umfassende Belehrung des Mitarbeiters vorsieht. Dieser kann aber die Einwilligung jederzeit widerrufen. Ob ein solcher Widerruf zu arbeitsrechtlichen Konsequenzen, etwa zu einem Sonderkündigungsrecht führt, ist noch streitig. Ein Mitarbeiter, der ausschließlich sein verfassungsmäßiges Persönlichkeitsrecht ausübt, begeht im Regelfall keine Verletzung arbeitsvertraglicher Pflichten.
Trennung als Ausweg?
Soll private Nutzung unantastbar bleiben, bietet es sich an, den Mitarbeitern getrennte Mail-Konten einzurichten. Konten für betriebliche und Konten für private Mail sind im Verzeichnisbaum streng zu trennen. Der Aufwand kann sich lohnen: Die betrieblichen Konten unterlägen keinen datenschutzrechtlichen Einschränkungen und könnten uneingeschränkt gespeichert und verarbeitet werden.
Wohl und Wehe der privaten Mail läge beim Benutzer. Diese Lösung besticht jedoch nur auf den ersten Blick. Zu groß ist die Gefahr, dass private und betriebswichtige Kommunikationsdaten durch eigene Mitarbeiter oder Dritte vermengt werden. Durch falsche Empfängeradressen etwa wären Betriebsdaten dem Backup entzogen oder – noch schlimmer – der Bereich der Unternehmensdaten kontaminiert.
Pflicht zu technischen Schutzvorkehrungen
Private Mail zu erlauben hat noch weitere Konsequenzen: Nach Paragraph 87 TKG muss der Diensteanbieter mit technischen Maßnahmen die Telekommunikations- und Datenverarbeitungssysteme gegen äußere Angriffe und Katastrophen schützen. Der Stand der Technik ist zu berücksichtigen. Veraltetes Equipment darf dazu nicht verwendet werden.
Wem das zu teuer ist, mag sich überlegen, ob er nicht künftig private Nutzung der betrieblichen E-Mail-Dienste ganz untersagt. Er muss dann durch Kontrollen vorbeugen, dass sich nicht erneut Privatnutzung einschleicht, die zu den beschriebenen Konsequenzen führt – gelegentliche Stichproben sollten hier jedoch genügen.
Telekommunikationsgesetz (TKG) |
|
Paragraph 3 – Begriffsbestimmungen Im Sinne dieses Gesetzes … 5. ist “geschäftsmäßiges Erbringen von Telekommunikationsdiensten” das nachhaltige Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte mit oder ohne Gewinnerzielungsabsicht. 16. ist “Telekommunikation” der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen. 18. sind “Telekommunikationsdienstleistungen” das gewerbliche Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte. |
Telekommunikations-Datenschutzverordnung (TDSV) |
|
Paragraph 2 – Begriffsbestimmungen Im Sinne dieser Verordnung sind … 1. Beteiligte an der Telekommunikation a) … b) Personen, die Telekommunikationsdienste nutzen, die ein Diensteanbieter abietet. 2. Diensteanbieter alle, die ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken. |
